한국 금융IT보안의 궤적을 고스란히 몸으로 겪고 선봉에서 흐름을 이끌어 온 인물이 있다. 데일리시큐는 얼마전 한국은행 금융결제국 전자금융팀 김정혁 팀장과 인터뷰를 진행했다. 한국과학기술연구원 시절부터 대우증권을 거쳐 현재 한국은행에 이르기까지 한국 금융보안의 히스토리 속에 크고 작은 족적들을 남겨온 그와의 대화를 통해 한국 금융IT보안의 과거와 현재 그리고 앞으로 나가야 할 방향에 대해 들어보는 시간을 가졌다. 다음은 김정혁 팀장과 인터뷰 내용이다.
-오랜 기간 금융기관 IT와 보안 분야에 근무해 오고 있다. 이 분야와 어떤 계기로 인연을 맺게 됐나?
▶첫 직장은 한국과학기술연구원에서 시스템공학과 소프트웨어 응용연구 프로그램 개발을 시작했다. 당시 공기업, 국영기업 전산화 구축이 한창일 때 프로젝트 연구원으로 일하면서 프로그램 개발과 전산구축 기본 계획 등을 마련했다. 이후 한국거래소에서 주식시장이 붐을 이루면서 불공정 거래가 증가함에 따라 불공정거래를 모니터링하고 찾아내는 종합감리시스템을 구축하는 프로젝트에 참여했다. 93년부터 3년간 과거 데이터를 분석해 패턴을 찾아내고 이상징후를 탐지해 내는 모니터링 시스템을 구축한 것이다.
-모니터링 시스템은 보안과도 관련이 많다. 자연스럽게 보안업무와 연결이 됐을 것 같은데.
▶그 때문에 96년 당시 대우증권으로 자리를 옮겨 IT센터에서 사이버금융 플랫폼을 개발하는 담당자를 맡게 됐다. 전화나 인터넷을 활용한 사이버금융 거래가 도래하던 시기였다. 당시 사이버트레이딩 관련 플랫폼 구축작업을 진행하면서 사이버보안시스템의 필요성도 급부상하게 됐다. 그때만 해도 현업에서 사이버보안 전문가는 거의 없었다. 보안의 중요성이 커지면서 자연스럽게 사이버금융 플랫폼을 담당하며 보안업무도 맡게 됐고 그때부터 본격적으로 보안 시스템에 대해 스터디하기 시작했다. 정보를 찾아 공부도 하고 외부 교육을 통해서도 보안지식을 습득해 나갔다.
-증권사에서 처음으로 정보보안실을 구축, 운영했다고 들었다.
▶이후 2000년에 대우증권 보안컨설팅 PM을 담당하면서 보안지식의 체계를 확립했고 장기적 보안 마스터플랜도 마련하게 됐다. 그러고 나니 금감원에서 전자금융감독규정을 마련하고 각 금융기관들에게 사이버안전대책 지침을 내렸다. 이미 대우증권은 그에 대한 대책을 마련해 놓은 상태였다. 이를 계기로 타 증권사보다 항상 먼저 선도적으로 새로운 보안시스템을 도입하고 장기적인 플랜을 가지고 움직이는 조직이 됐다.
2001년 증권사로는 처음으로 정보보안실을 구축했다. 보안에 있어 타 증권사에 비해 항상 한 발 앞서갔다. 실시간 모니터링 요원과 보안전담자를 배치하고 해킹사고 대비와 통신망안전관리 등의 업무를 담당했다. 이후 금융보안 업무에 깊숙이 관여하다 보니 2003년 공인인증서가 증권사에 처음 도입될 때 기술표준이 필요했다. 그때도 증권사 대표로 공인인증서 기술표준을 만들 때 참여하게 됐다. 또 현재 금융보안원의 전신인 금융보안연구원을 2006년 처음 설립할 때도 설립추진단에 참여해 연구원의 역할과 기능을 정립하는데도 같이 하게 됐다.
-현재 한국은행에서는 주로 어떤 업무를 맡고 있나.
▶한국은행으로 오기 전, 2008년 SC제일은행에서 신설증권사를 설립했다. 이때 합류해 전사적 내부통제 비상계획 및 위기관리 등을 담당하는 전산부장을 맡으면서 그룹감사와 보안감사를 모두 책임지는 업무를 맡게 됐다. 이후 2014년 한국은행으로 자리를 옮겨 핀테크, 인터넷전문은행 등의 금융보안사고 정보공유 및 안전대책을 마련하는 전자금융관련 공동정보화 사업을 기획 추진하고 전자금융 표준을 만들어 배포하는 일을 담당했다. 또 지난해 발족한 전자금융포럼에서 핀테크 정보화 워킹그룹 활동을 하고 있고 금융기관 공동 제3 백업센터 TF에 참여해 백업체계 안정화 작업에 참여했다. 또 최근에는 동전 없는 사회 워킹그룹을 만들어 불필요한 사회비용을 줄이고 동전이 필요 없도록 보안이 적용된 모바일 교통카드와 동전지갑을 설계하는데 참여하고 있다. 그러고 보면 금융IT에 모든 업무는 보안과 직결된 사안들이란 것을 알 수 있다.
-핀테크와 인터넷전문은행 등이 주목을 받고 있다. 이런 사업에 관여하면서 느낀 바가 있다면.
▶우선 핀테크가 이슈화 되면서 관련 기업도 생기고 정부에서도 지원에 나서고 있다. 금융관련 규제도 풀고 진입장벽도 낮추고 있다. 하지만 우리 금융기관들은 이미 핀테크 기업들이 가지고 있는 IT기술들을 가지고 있다. 핀테크 전문기업들은 이를 뛰어넘는 혁신적인 모델들을 내 놔야 한다. 그래야 현재 금융권과 경쟁이 가능하다. 특히 영세한 핀테크 기업들이 경쟁에서 이기기 위해 신속성과 편리성에만 매몰되다 보면 보안성이 떨어질 수밖에 없다. 단기적 성과 위주로 돌아가다 보면 보안에 문제가 생긴다. 그러다 해킹사고라도 터지면 핀테크 시장 전반에 영향을 미쳐 시장 전체에 악영향을 줄 수 있다. 따라서 보안에 충실하면서 혁신적인 핀테크 서비스 모델을 만들어야 한다. 그래야 자생적 토양을 만들 수 있다. 인터넷전문은행도 마찬가지다.
정부는 금융업무 모듈을 오픈해서 무료사용하라고 장려하지만 실제 핀테크 기업들이 사용하려면 비용이 많이 들어간다. 결국 오픈API는 핀테크 기업들이 비용 때문에 사용할 수 없다. 이런 것을 지원하기 보다는 핀테크 기업에 보안 인프라를 지원해 주는 것이 장기적으로 옳다고 본다. 핀테크 기업 전반이 초기 보안서비스를 이용할 수 있도록 하는 것이 더 필요하다. 오픈API를 제공하는 것 보다 보안인프라를 지원해 안정적으로 핀테크 기업들이 비즈니스를 할 수 있도록 지원해 주는 것이 더 필요한 상황이다.
-금융권 보안현안 중 자율규제가 화두다. 어느 선까지 보안을 해야 할지 당혹스러워하는 금융기관들이 많다. 어떻게 생각하나.
▶너무 오랫동안 자율규제를 하지 않았기 때문에 보안문제가 발생하는 것이다. IT트렌드는 급변하는데 감독규정은 따라가지 못하고 있다. 그래서 자율규제가 대두된 것이다. 이제 금융기관들은 규제에 얽매이기 보다는 조직의 환경에 맞게 내실있는 보안체계를 구축해야 한다. 그동안 감독규정만 보고 스스로 보안레벨을 올리지 않았다. 사고 나면 면책을 받을 수 있도록 감독기관이 정해준 체크리스트만 준수하려고 했다. 사고가 나도 숨기기에 급급했고 원인과 결과를 다른 금융기관과 공유도 하지 않았다. 그래서 반복적으로 사고를 당하게 된 것이다. 전체적으로 하향 평준화가 되어 버린 상황이다. 이제 노후된 감독규정을 벗어나야 한다. 조직에 맞는 정보보호 규정을 만들고 철저한 내부감사를 통해 직원들의 보안의식을 끌어 올려야 한다. 조직 스스로 보안정책을 만들고 보안시스템도 독자적으로 판단해 구축해야 한다. 제품도 국산, 외산 따질 것 없이 좋은 제품을 도입하고 비슷한 수준의 보안컨설팅에서 벗어나 제대로 된 투자가 이루어져야 한다. 그래야 제대로 보안을 할 수 있다.
감독당국은 자율이든 타율이든 자신들의 역할과 업무에 충실하면 된다. 사고가 발생하면 정확한 원인분석과 진단 그리고 처벌을 명확하게 해 주면 된다. 그러면 금융기관들은 더욱 분발할 것이다. 덧붙여 금융기관 보안담당자들은 1년에 보안감사, IT감사, 내부감사 등 감사준비하고 받는다고 시간을 다 보낸다. 직원들 스스로 창의적인 생각과 자율적인 보안을 하기 힘든 상황이다. 보안부서 직원들이 내부의 허술한 보안취약점을 찾아내고 스스로 보안홀들을 줄여갈 수 있도록 해 줘야 한다. 사전감사, 정기감사를 없애고 진정으로 자율보안을 할 수 있는 시간적 여유를 줘야 한다.
김정혁 팀장은 핀테크 산업이 진정으로 성장하기 위해서는 쇼윈도 정책 보다는 안정적으로 서비스가 운영될 수 있도록 보안인프라를 초기 지원해 주는 것이 필요하다고 강조했다. 또 금융기관 스스로 보안을 할 수 있도록 말로만 자율규제가 아닌 자율규제를 할 수 있는 환경을 조성해 주는 것이 무엇보다 중요하다고 말한다. 정부와 금융당국이 새겨야 할 내용들이다.
★정보보안 & IT 대표 미디어 데일리시큐!★